Powiadomienia push a RODO

Obecne ustawodawstwo przewiduje wiele dotkliwych sankcji dla przedsiębiorców, którzy świadomie (to znaczy w wyniku działania), czy też nieświadomie (to jest w wyniku zaniedbania), wykorzystują swoją silniejszą pozycję. W wyniku przenoszenia handlu do sieci na rynku pojawia się coraz więcej skutecznych narzędzi, których zadaniem jest docieranie do odbiorców z konkretną informacją, najczęściej marketingową.

W niniejszym opracowaniu odpowiemy na pytania, czym jest jeden z ostatnich fenomenów pod tym względem, czyli powiadomienie push, jaką odgrywa rolę dla dostawców tego narzędzia oraz co zrobić, by korzystanie z powiadomień push było zgodne z przepisami z zakresu ochrony danych osobowych.

Czym są powiadomienia push?

Co do zasady, powiadomienia push mają formę małych, prostokątnych okienek, które różnią się od siebie w zależności od preferencji dostawcy powiadomień. Mogą przybierać formę tekstową, graficzną lub wideo, przy czym posiadają pewne stałe elementy, tzn. tytuł i treść tekstową, którą można uzupełnić o chwytliwą grafikę, bądź link do strony www. Tego typu zabiegi zdecydowanie wpływają na poziom zaangażowania odbiorców, którzy sami wybierają, jakie informacje chcą otrzymywać od sklepów internetowych lub stron informacyjnych.

Z punktu widzenia odbiorcy istotne jest, aby przesyłane informacje były ważne, użyteczne i pożądane. Na każdym kroku użytkownicy Internetu stykają się z wiadomościami błahymi i nieważnymi z ich punktu widzenia, dlatego warto w wysłanym komunikacie jasno zasugerować podjęcie działania, którego nadawca oczekuje.

Gwoli wyjaśnienia, możemy wskazać kilka rodzajów powiadomień push ze względu na cel ich stosowania, m.in. informacyjne, reklamowe, transakcyjne, retencyjne – wszystko zależy od celu, jaki nadawca zamierza osiągnąć. Powiadomienia można także podzielić ze względu na sposób ich dostarczania, czyli powiadomienia z aplikacji, tzw. push mobile oraz powiadomienia ze strony internetowej, tzw. push web.

To przykładowe powiadomienie push

Nowy artykuł na naszym blogu !

W przypadku push web użytkownik strony internetowej zgadza się na subskrypcję powiadomień, wybierając daną opcję w komunikacie pojawiającym się przy wejściu na stronę internetową, tzw. pop-up’ie, który powinien dać zarówno możliwość wyrażenia zgody (przykład: „Zezwól”) na otrzymywanie powiadomień push, jak również pozwalać na blokowanie powiadomień na przyszłość (przykład: „Blokuj”).

Powiadomienia push mogą być przekazywane tylko pod warunkiem wyrażenia zgody na ich otrzymywanie. Dostawcy powiadomień push powinni stosować mechanizmy, które umożliwią im odnotowywanie każdego wyboru użytkownika strony internetowej.

Co ważne, zastosowanie powiadomień jest szerokie. Powiadomienia pojawiają się na bieżąco, ale można je zaplanować, wysyłać do konkretnego zindywidualizowanego odbiorcy lub grona odbiorców ustalonych na podstawie pewnych informacji lub do wszystkich, którzy wyrazili zgodę na otrzymywanie push.

Zdecydowaną większość powiadomień push stanowią powiadomienia o charakterze marketingowym. Powiadomienia te stanowią skuteczny kanał komunikacji marketingowej opartej o spersonalizowane profile użytkowników, zbudowane w oparciu o dane, zebrane z aplikacji czy też ze stron internetowych. Powiadomienia zawierają informacje o promocjach w celu poprawienia konwersji, stanowią więc doskonałe narzędzie do remarketingu, które pobudza uśpionych użytkowników, którzy np. porzucili koszyk zakupowy. Powiadomienia mogą także informować o nowościach, ofercie i pojawieniu się brakujących, wyprzedanych wcześniej towarów.

Czy powiadomienia push wykorzystują dane osobowe?

Dostawcy powiadomień web push zazwyczaj wskazują, że nie przetwarzają danych osobowych, wobec czego więc nie pozyskują zgód na ich przetwarzanie. Użytkownicy są identyfikowani wyłącznie na podstawie informacji, które są przechowywane przez ich przeglądarki internetowe, do których właściciel strony internetowej nie ma dostępu.  

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.

ODBIERZ PAKIET

Właściciel strony internetowej musi pamiętać, iż w przypadku, w którym będzie dochodziło do identyfikacji osób fizycznych, które korzystają z powiadomień, powstanie szereg obowiązków związanych z przetwarzaniem danych osobowych. Co ważne, jeśli przetwarzany będzie adres IP, to zazwyczaj przetwarzane będą dane osobowe (zgodnie z motywem 30 RODO, „osobom fizycznym mogą zostać przypisane identyfikatory internetowe – takie jak adresy IP, identyfikatory plików cookie – generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory (…). Może to skutkować zostawieniem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania osób”. Adres IP został zakwalifikowany jako dane osobowe już  w wyroku Trybunału Sprawiedliwości UE  z 24.11.2011 r., C-70/10, zaś w kolejnym wyroku Trybunału Sprawiedliwości, C-582/14 uznano, iż dynamiczny adres IP ma cechy informacji o charakterze osobowym, ponieważ jest możliwa identyfikacja jakiejś osoby fizycznej na jego podstawie. Nie ma znaczenia fakt, że jeśli administrator realnie będzie chciał ustalić tożsamość takiej osoby, to będzie musiał podjąć dodatkowe kroki i zastosować dodatkowe środki, żeby ustalić tożsamość).

Zdecydowanie inaczej sprawa ma się z przetwarzaniem danych osobowych w aplikacji mobilnej.

W momencie wysyłania powiadomień push mobile, co do zasady będzie dochodziło do przetwarzania danych osobowych  konkretnego zidentyfikowanego użytkownika aplikacji w celu wysyłki powiadomień push.

Powiadomienia push jako marketing bezpośredni – wymogi Prawa telekomunikacyjnego

Zdaniem autorki tekstu powiadomienia push powinny co do zasady być traktowane jako marketing bezpośredni, ponieważ zazwyczaj wpisują się w definicję marketingu bezpośredniego, za który uważa się, m.in. formę komunikacji polegającą na wchodzeniu w bezpośrednią interakcję pomiędzy sprzedawcą a klientem, która może być kierowana bezpośrednio do określonych osób. Cele marketingu bezpośredniego pokrywają się z celami powiadomień push, tj. przyciąganie i zatrzymanie uwagi potencjalnego kupującego, zachęcenie go do odwiedzin w sklepie, badanie reakcji klienta na towary czy zwiększenie wielkości sprzedaży.

Przetwarzając dane dla celów marketingu bezpośredniego musimy posiadać podstawę prawną przetwarzania danych osobowych. Ponadto, należy odebrać zgodę z art. 172 ustawy Prawo telekomunikacyjne na używanie telekomunikacyjnych urządzeń końcowych (komórki, komputera, tableta) dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę. Co do zasady, w niniejszej sytuacji będzie można powołać się na prawnie uzasadniony interes administratora z art. 6 ust. 1 lit. f RODO w związku z pozyskaną zgodą z art. 172 ustawy Prawo telekomunikacyjne.

Powyższe będzie możliwe, pod następującymi warunkami:

1. informacja dotycząca powiadomień powinna być napisana jasnym i prostym językiem,
2. zgoda powinna być:
   1. uprzednia (czyli zebrana przed wysłaniem powiadomienia push),
   2. wyraźna i oddzielna od innych zgód,
   3. świadoma (z treści wynika, dla kogo jest wyrażana), konkretna (wskazuje cel, dla którego jest wyrażana) i dobrowolna (nie powinno się przymuszać do jej wyrażenia), jednoznaczna (dana osoba wykonuje działanie w celu jej wyrażenia),
   4. zapewniająca rozliczalność pozyskania zgody (a contrario nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści),
3. użytkownik powinien być poinformowany, iż może zrezygnować z powiadomień w każdym czasie, w sposób prosty i wolny od opłat oraz
4. warto wspomnieć o zasadach funkcjonowania powiadomień w regulaminie strony czy polityce prywatności (opisać, czym jest powiadomienie, wspomnieć o możliwości wycofania się w każdej chwili i skorzystania z funkcjonalności strony internetowej w celu zrezygnowania z powiadomień push).

W przypadku powiadomień typu push mobile, nie należy także zapominać o art. 173 oraz art. 174 ustawy Prawo telekomunikacyjne, które mają zastosowanie, gdy w telekomunikacyjnym urządzeniu końcowym (komórce, komputerze, tablecie) użytkownika aplikacji, będą przechowywane informacje lub będzie uzyskiwany dostęp do informacji już przechowywanej, w takim przypadku niezbędne będzie spełnienie dodatkowych wymogów:

1. użytkownik aplikacji zostanie uprzednio bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały, o:
   1. celu przechowywania i uzyskiwania dostępu do tej informacji,
   2. możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi.

 Podsumowując, w przypadku powiadomień typu push mobile, co do zasady, należy odebrać zgodę z art. 172 ustawy Prawo telekomunikacyjne, ponieważ każde wykorzystanie sprzętu końcowego, np. komórki, do działań marketingowych wymaga uzyskania zgody właściciela komórki, natomiast pozyskanie zgody z art. 173 ustawy Prawo telekomunikacyjne za każdym razem będzie wymagało analizy, czy faktycznie dochodzi do tego typu ingerencji w urządzenie końcowe użytkownika aplikacji.

Dodatkowe wymogi w przypadku równoczesnego przetwarzania danych osobowych

Jeżeli ustaliliśmy, iż korzystanie z powiadomień typu push stanowi równoczesne przetwarzanie danych osobowych, w grę wchodzi konieczność: 

1. przeanalizowania procesu przetwarzania danych pod kątem konieczności przeprowadzenia analizy ryzyka lub szacowania wpływu przetwarzania na prawa i wolności osób, których dane dotyczą; przeprowadzenia procesu privacy by design i privacy by default w celu zaprojektowania procesu w sposób spełniający wymagania RODO, w tym przeanalizowania zakresu zbierania danych pod kątem konieczności ich posiadania podczas wysyłki powiadomień push (dobrowolny udział, możliwość rezygnacji w każdej chwili), wskazując na ustawienia przeglądarki jako właściwego narzędzia do wycofania się z notyfikacji lub poprzez kontakt e-mailowy z właścicielem aplikacji;
2. przekazania informacji o przetwarzaniu danych w sposób jasny, prosty, zrozumiały poprzez spełnienie obowiązku informacyjnego; wskazania w polityce prywatności oraz regulaminie aplikacji zasad funkcjonowania powiadomień push, opisania, czym jest powiadomienie, wskazania  możliwości wycofania się z dostawania powiadomień w każdej chwili w sposób prosty i wolny od opłat, skorzystania z funkcjonalności ustawień aplikacji w celu zrezygnowania z powiadomień push lub poprzez kontakt e-mail z IOD lub osobą sprawującą podobną rolę w organizacji;
3. 

   Nie ma głupich pytań RODO.
   Są darmowe odpowiedzi

   Skorzystaj z bezpłatnej porady prawnej lub IT.

   MAM PYTANIE
   dopilnowania, aby zgoda była:
   1. uprzednia, czyli zebrana przed wysłaniem powiadomienia push,
   2. wyraźna i oddzielna od innych zgód,
   3. świadoma (z treści wynika, dla kogo jest wyrażana), konkretna (wskazuje cel, dla którego jest wyrażana) i dobrowolna (nie powinno się przymuszać do jej wyrażenia), jednoznaczna (dana osoba wykonuje działanie w celu jej wyrażenia),
   4. zapewniająca rozliczalność pozyskania zgody (a contrario nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści);
4. zamieszczenia umowy powierzenia danych z dostawcą powiadomień push, jeśli z takiego podmiotu korzystamy i będzie on miał dostęp do danych osobowych, których administratorem jest właściciel aplikacji;
5. dopilnowania realizacji praw żądających, w tym realizacji wycofania zgody tak łatwo jak jej wyrażenia, zawiadomienia osoby, której dane dotyczą, o ewentualnych naruszeniach bezpieczeństwa danych czy wyznaczenia inspektora danych osobowych;
6. zwrócenia uwagi, że jeżeli dane obywateli UE przetwarzane są przez podmiot spoza obszar EOG, oznaczać to będzie konieczność zapewnienia ochrony danych osobowych w takim stopniu,
   w jakim wymagana jest w krajach członkowskich;
7. jeśli w procesie przetwarzania powołujemy się na prawnie uzasadniony interes administratora należy przeprowadzić test równowagi.

Push – droga obrana przez Apple

W tym miejscu warto zwrócić uwagę, że sklep Apple w swoim regulaminie wskazuje, iż powiadomienia push nie mogą być wymagane do działania aplikacji i nie powinny być używane do wysyłania informacji osobistych lub poufnych. Powiadomień push nie należy używać do celów promocji lub marketingu bezpośredniego, chyba że klienci wyraźnie wyrazili zgodę na ich otrzymywanie za pośrednictwem zgody wyświetlanej w interfejsie użytkownika aplikacji z prawem do rezygnacji z otrzymywania takich wiadomości. Nadużywanie tych usług może skutkować cofnięciem uprawnień.

Push w przyszłości

Powiadomienia push okazują się doskonałym narzędziem uzupełniającym pozostałe formy komunikacji, takie jak e-mail, SMS, połączenia telefoniczne. Stanowią precyzyjny komunikat, który osiąga zdecydowanie większy odzew ze strony użytkowników stron internetowych czy aplikacji mobilnych. W dobie ochrony prywatności i powstrzymywania przenikania marketingu do życia prywatnego użytkowników stron internetowych i aplikacji mobilnych z czasem mogą okazać się zbyt uciążliwym narzędziem komunikacji. Pojawiają się pierwsze działania mające na celu ograniczenie tej formy komunikacji. Za przykład można podać chińskich regulatorów, którzy opublikowali nowy projekt zasad dotyczących powiadomień i wyskakujących okienek. Zasady mają na celu powstrzymanie nadmiernego korzystania z narzędzi przez chińskie aplikacje i kontrolę treści udostępnianych w powiadomieniach.